Vzestup botnetu: od Botnet-7777 po CovertNetwork-1658

První zprávy o tomto nebezpečném botnetu, tehdy označovaném jako Botnet-7777, se objevily v říjnu 2023, kdy jej zdokumentoval nezávislý výzkumník. Botnet byl pojmenován podle čísla portu 7777, na kterém vystavoval svůj malware. Na svém vrcholu zahrnoval tento botnet přes 16 000 zařízení po celém světě, většinou TP-Link routery.

V červenci a srpnu 2024 potvrdili odborníci ze Srbska a Team Cymru, že botnet je stále aktivní. Botnet, který nyní Microsoft sleduje pod označením CovertNetwork-1658, využívají čínští kyberzločinci k útokům na účty služby Azure. Tyto útoky jsou mimořádně obtížně odhalitelné, protože botnet přechytrale skrývá svou činnost.

Taktiky, které znesnadňují detekci

Microsoft upozornil, že CovertNetwork-1658 používá různé strategie, aby se vyhnul detekci:

• Používá kompromitované IP adresy domácích routerů (SOHO).
• Neustále rotuje IP adresy, což znesnadňuje sledování. Průměrná životnost uzlu botnetu je 90 dní.
• Používá techniku „low-volume” útoků, kdy jednotlivé zařízení provádí omezený počet přihlašovacích pokusů, aby nezpůsobilo podezřelou aktivitu.

Tato taktika umožňuje útokům na méně chráněné účty probíhat prakticky nepřetržitě, přičemž si udržují vysokou pravděpodobnost úspěchu a výrazně zvětšují šance na získání počátečního přístupu do účtů ve firmách a organizacích po celém světě.

Zdroj: Shutterstock

Významné napojení: Storm-0940 a další

Jednou z nejaktivnějších skupin, které tento botnet využívají, je Storm-0940. Tato skupina se zaměřuje na think tanky, vládní organizace, nevládní organizace, právní firmy a průmyslové obranné základy v severní Americe a Evropě. Po získání přístupu se pokouší o laterální pohyb po síti a o exfiltraci dat, případně o instalaci vzdálených trojských koní.

Microsoft poznamenal, že útoky vedené Storm-0940 měly v několika případech rychlou výměnu mezi okamžikem kompromitace a zneužitím přístupu. Tato koordinace mezi operátory botnetu a kyberzločineckými skupinami naznačuje těsně spjaté partnerství.

Neznámé detaily a rizika

Přesně, jak jsou zařízení v botnetu zneužita, je stále předmětem výzkumu. Obecně jsou ale zaznamenány kroky, které hackeři používají:

1. Stažení binárního souboru Telnet z FTP serveru.
2. Stažení zadních vrátek „xlogin“ z FTP serveru.
3. Zahájení příkazové řádky chráněné přístupem na portu TCP 7777.
4. Autentizace a připojení k zadním vrátkům.
5. Stažení a spuštění serveru SOCKS5 na portu TCP 11288.